【技术实现步骤摘要】
本申请涉及通信领域,并且更具体地,涉及一种通信方法和通信装置。
技术介绍
1、第三代合作伙伴计划(3rd generation partnership project,3gpp)中证书管理相关课题定义了一种证书申请管理框架(certificate enrolment and managementframework,cemaf),该cemaf中包括证书管理网元(certificate management function,cemf)、证书颁发网元(certificate enrolment function,ceef)和需要请求业务证书的功能网元(network function,nf)。具体地,nf和ceef之间的通信接口用于注册与证书调配和更新相关的程序;nf和cemf之间的通信接口用于证书状态检查。
2、但是目前针对ceef和cemf构成的证书管理框架,尚没有定论如何基于此架构设置一个安全的证书申请协议。
技术实现思路
1、本申请提供一种通信方法,针对ceef和cemf构成的证书管理框架提出初始的信任建立流程,以实现证书颁发的安全保护。
2、第一方面,提供了一种通信方法,包括:证书申请网元向证书颁发网元发送第一请求消息,所述第一请求消息用于请求认证所述证书申请网元,所述第一请求消息中包括所述证书申请网元的标识和第一信息,所述第一信息用于对所述证书申请网元进行认证;所述证书颁发网元向管理网元发送第二请求消息,所述第二请求消息用于请求验证所述第一信息,所述
3、基于上述方案,证书颁发网元通过管理网元对证书申请网元进行校验,确定证书申请网元是否为可信任的网元。从而证书颁发网元可以在证书申请网元验证通过(如,为可信任的网元)的情况下,同意证书申请网元的证书颁发申请,为需要颁发证书的网元颁发证书,也即是说在颁发证书之前建立证书颁发网元和证书申请网元之间的信任,从而可以实现证书颁发的安全保护。
4、另外,需要说明的是,上述方案中证书颁发网元是请求管理网元协助完成证书申请网元的校验,而管理网元可以通过本地记录的证书申请网元相关的信息(如,证书申请网元的初始化信息、证书申请网元的配置信息、或证书申请网元的管理信息等)完成校验,从而无需进行额外的信息配置即可完成校验。
5、结合第一方面,在第一方面的某些实现方式中,所述第一信息包括以下信息中的至少一项:网元标识列表、域标识、或初始化证书列表,所述网元标识列表用于指示所述证书申请网元管理的至少一个网元,所述域标识用于指示所述证书申请网元所位于的域,所述初始化证书列表用于指示所述证书申请网元管理的至少一个网元被配置的至少一个初始化证书。
6、基于上述方案,证书申请网元在请求对其进行校验的消息中携带的用于协助校验的信息可以有多种可能,提高方案的灵活性。
7、结合第一方面,在第一方面的某些实现方式中,所述证书颁发网元根据所述第一指示信息确定所述证书申请网元是否为可信的网元,包括:在所述第一指示信息指示所述第一信息通过验证的情况下,所述证书颁发网元确定所述证书申请网元为可信的网元;或者,在所述第一指示信息指示所述第一信息未通过验证的情况下,所述证书颁发网元确定所述证书申请网元为不可信的网元。
8、结合第一方面,在第一方面的某些实现方式中,所述第一指示信息中还包括管理网元的签名,所述管理网元的签名用于验证所述第一指示信息是否可信。
9、基于上述方案,管理网元向证书颁发网元发送的第一指示信息中可以携带管理网元的签名,以使得证书颁发网元可以基于该管理网元的签名验证所述第一指示信息是否可信,提高信息传输的安全性。
10、结合第一方面,在第一方面的某些实现方式中,所述方法还包括:所述证书颁发网元向所述证书申请网元发送第一响应消息,所述第一响应消息用于指示所述证书申请网元是否为所述证书颁发网元可信的网元。
11、基于上述方案,证书颁发网元可以通过第一响应消息通知证书申请网元校验的结果,以避免证书申请网元无法及时获知校验结果而导致重复申请校验,造成资源浪费。
12、结合第一方面,在第一方面的某些实现方式中,所述方法还包括:第一网元向所述证书申请网元发送业务证书请求消息,所述业务证书请求消息用于请求所述证书申请网元代所述第一网元申请业务证书;所述证书申请网元根据规则判断是否响应所述第一网元申请业务证书的请求。
13、基于上述方案,证书申请网元在接收到第一网元的业务证书请求消息之后,可以根据本地预配置的规则确定是否需要代第一网元向证书颁发网元申请证书,以避免在第一网元的申请不合理的情况下(如,申请的证书类型不合理),证书申请网元仍然代第一网元向证书颁发网元申请证书,导致资源浪费。
14、结合第一方面,在第一方面的某些实现方式中,所述业务证书请求消息中包括所述第一网元的标识和以下信息中的至少一项:所述第一网元对应的公钥、所述第一网元对应的私钥、所述第一网元被配置的初始化证书、或业务类型指示信息。
15、结合第一方面,在第一方面的某些实现方式中,所述方法还包括:所述证书申请网元向所述第一网元发送失败指示,所述失败指示用于指示所述第一网元申请业务证书的请求无效;或者,所述证书申请网元向所述证书颁发网元发送业务证书申请消息,所述业务证书申请消息用于请求所述证书颁发网元颁发业务证书。
16、结合第一方面,在第一方面的某些实现方式中在所述业务证书请求消息请求的业务证书的类型为第一类型的情况下,所述证书申请网元根据规则判断是否响应所述第一网元申请业务证书的请求包括:所述证书申请网元根据规则验证所述第一网元是否可以申请第一类型的业务证书;在验证失败时,所述证书申请网元向所述第一网元发送所述失败指示。元向所述第一网元发送所述失败指示。
17、结合第一方面,在第一方面的某些实现方式中,所述业务证书申请消息中包括所述证书申请网元的标识和以下信息中的至少一项:所述第一网元对应的公钥、所述第一网元对应的私钥、所述第一网元被配置的初始化证书、所述第一网元的标识、或所述证书申请网元的签名。
18、结合第一方面,在第一方面的某些实现方式中,在所述第一信息为所述网元标识列表,且所述管理网元本地记录的所述证书申请网元管理的一个或多个网元的标识构成所述网元标识列表时,所述管理网元确定所述第一信息通过验证;或者,在所述第一信息为所述初始化证书列表,且所述管理网元本地记录的所述证书申请网元管理的一个或多个网元对应的初始化证书构成所述初始化证书列表,所述初始化证书列表中的初始化证书均有效时,所述管理网元确定所述第一信息通本文档来自技高网...
【技术保护点】
1.一种通信方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述第一信息包括以下信息中的至少一项:
3.根据权利要求1或2所述的方法,其特征在于,所述证书颁发网元根据所述第一指示信息确定所述证书申请网元是否为可信的网元,包括:
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述第一指示信息中还包括管理网元的签名,所述管理网元的签名用于验证所述第一指示信息是否可信。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,所述业务证书请求消息中包括所述第一网元的标识和以下信息中的至少一项:
8.根据权利要求6或7所述的方法,其特征在于,在所述业务证书请求消息请求的业务证书的类型为第一类型的情况下,所述证书申请网元根据规则判断是否响应所述第一网元申请业务证书的请求包括:
9.根据权利要求1至8中任一项所述的方法,其特征在于,在所述第一
10.根据权利要求1至9中任一项所述的方法,其特征在于,所述第二信息包括以下信息中的至少一种:
11.一种通信方法,其特征在于,包括:
12.根据权利要求11所述的方法,其特征在于,所述第一信息包括以下信息中的至少一项:
13.根据权利要求11或12所述的方法,其特征在于,所述证书颁发网元根据所述第一指示信息确定所述证书申请网元是否为可信的网元,包括:
14.根据权利要求11至13中任一项所述的方法,其特征在于,所述第一指示信息中还包括管理网元的签名,所述管理网元的签名用于验证所述第一指示信息是否可信。
15.根据权利要求11至14中任一项所述的方法,其特征在于,所述方法还包括:
16.一种通信系统,包括证书申请网元、证书颁发网元和管理网元,其特征在于:
17.根据权利要求16所述的通信系统,其特征在于,所述证书颁发网元用于根据所述第一指示信息确定所述证书申请网元是否为可信的网元,包括:
18.根据权利要求16或17所述的通信系统,其特征在于,所述证书颁发网元还用于向所述证书申请网元发送第一响应消息,所述第一响应消息用于指示所述证书申请网元是否为所述证书颁发网元可信的网元。
19.根据权利要求16至18中任一项所述的通信系统,其特征在于,所述通信系统还包括第一网元:
20.根据权利要求19所述的通信系统,其特征在于,在所述业务证书请求消息请求的业务证书的类型为第一类型的情况下,所述证书申请网元用于根据规则判断是否响应所述第一网元申请业务证书的请求包括:
21.根据权利要求16至20中任一项所述的通信系统,其特征在于,在所述第一信息为所述网元标识列表,且所述管理网元本地记录的所述证书申请网元管理的一个或多个网元的标识构成所述网元标识列表时,所述管理网元确定所述第一信息通过验证;或者,
22.一种通信装置,其特征在于,所述装置包括:用于执行如权利要求1至10中任一项所述的方法的模块,或者用于执行如权利要求11至15中任一项所述的方法的模块。
23.一种通信装置,其特征在于,包括:
24.一种计算机程序产品,其特征在于,所述计算机程序产品包括用于执行如权利要求1至10中任一项所述的方法的指令,或者,所述计算机程序产品包括用于执行如权利要求11至15中任一项所述的方法的指令。
25.一种计算机可读存储介质,其特征在于,包括:所述计算机可读存储介质存储有计算机程序;所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1至10中任一项所述的方法,或者使得所述计算机执行如权利要求11至15中任一项所述的方法。
...【技术特征摘要】
1.一种通信方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述第一信息包括以下信息中的至少一项:
3.根据权利要求1或2所述的方法,其特征在于,所述证书颁发网元根据所述第一指示信息确定所述证书申请网元是否为可信的网元,包括:
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述第一指示信息中还包括管理网元的签名,所述管理网元的签名用于验证所述第一指示信息是否可信。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,所述业务证书请求消息中包括所述第一网元的标识和以下信息中的至少一项:
8.根据权利要求6或7所述的方法,其特征在于,在所述业务证书请求消息请求的业务证书的类型为第一类型的情况下,所述证书申请网元根据规则判断是否响应所述第一网元申请业务证书的请求包括:
9.根据权利要求1至8中任一项所述的方法,其特征在于,在所述第一信息为所述网元标识列表,且所述管理网元本地记录的所述证书申请网元管理的一个或多个网元的标识构成所述网元标识列表时,所述管理网元确定所述第一信息通过验证;或者,
10.根据权利要求1至9中任一项所述的方法,其特征在于,所述第二信息包括以下信息中的至少一种:
11.一种通信方法,其特征在于,包括:
12.根据权利要求11所述的方法,其特征在于,所述第一信息包括以下信息中的至少一项:
13.根据权利要求11或12所述的方法,其特征在于,所述证书颁发网元根据所述第一指示信息确定所述证书申请网元是否为可信的网元,包括:
14.根据权利要求11至13中任一项所述的方法,其特征在于,所述第一指示信息中还包括管理网元的签名,所述管理网元的签名用于验证所述第一指示信息是否可信。
15.根...
【专利技术属性】
技术研发人员:李论,郭燕飞,吴义壮,李赫,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。